在上一篇的文章:《行動裝置勒索病毒》躲進口袋的壞東西,Android勒索病毒數量增加了140%中,我們探討了惡意軟體如何鎖住設備以及如何說服受害者付錢的恐嚇手法。現在知道了壞人能夠做什麼,接下來要討論的是資安廠商用來阻止它們的偵測和解決技術。我們希望透過與其他研究人員的技術分享來提升業界解決行動勒索病毒的整體知識。
偵測和解決
檢視行動勒索病毒 Ransomware (勒索軟體/綁架病毒)的技術特性讓我們得以設計和做出正確的偵測和解決技術。有許多種方法可以處理這問題:我們的想法是這些惡意特性必須得出現在應用程式的程式碼中。我們利用靜態分析加上解決特殊狀況(例如透過映射進行混淆)的一些技巧。
圖1、各種找出行動勒索病毒的方法
在幾個星期前,筆者在2016年的歐洲黑帽大會上談論了躲進口袋的壞東西:為什麼勒索病毒造成貓捉老鼠遊戲內的曲折劇情。當回顧2015年4月到2016年4月的行動勒索病毒 Ransomware (勒索軟體/綁架病毒)時,趨勢科技注意到了Android勒索病毒數量的大幅上升。在這一年時間內,Android勒索病毒數量增加了140%。某些地方的行動勒索病毒甚至佔行動惡意軟體總數的22%!(這些數字來自趨勢科技的行動應用程式信譽評比服務)。在這期間所注意到的一個趨勢是它跟傳統勒索病毒走勢有密切相關:跟其他勒索病毒一樣,行動勒索病毒也在不斷地發展和成長。
這項研究從筆者在Politecnico di Milano(POLIMI)時就開始,趨勢科技的行動研究團隊為這項研究做出巨大的貢獻。本文將討論行動勒索病毒所使用的技術及協助解決這些問題的偵測技術。
為什麼行動勒索病毒會得逞?上鎖和恐懼
根據趨勢科技的分析,鎖住螢幕和恐嚇受害者必須付錢,以重新啟用設備,是行動勒索病毒得逞的必備伎倆。
鎖住螢幕
SMSLocker(偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER)是現今Android勒索病毒的開端。最初它沒有使用加密技術,只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密,所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制(C&C)通訊;有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備,總結如下基於KeyEvent.Callback API呼叫:
圖1、Android套件索引列表內onKeyDown()函式的說明
或許是為了讓Cerber開發者及其同夥可以賺到最多的錢,這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作:加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率,所以拿這些關鍵資料作人質無疑可以影響公司業務,觸及了底線。
作為提供服務給網路犯罪新手的勒索病毒,Cerber經歷過無數次的改版。它會利用更多技巧,包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台,甚至與資料竊取木馬聯手犯案。
Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。
勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說,前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。
為了讓受害者即刻付贖,資料庫檔案成綁匪肉票
加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER(RANSOM_CRYPJOKER.A)、SURPRISE(RANSOM_SURPRISE.A)、PowerWare(RANSOM_POWERWARE.A)和Emper(Ransom_EMPER.A)等都將資料庫相關副檔名加入加密列表。包括了dBASE(.dbf)、Microsoft Access(.accdb)、Ability Database(.mdb)和OpenOffice(.odb)等檔案。想想看資料庫檔案對於企業來說有多麼重要,開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。
自動避開俄羅斯等語系
Cerber 4.1.0、4.1.4和4.1.5就跟其它變種(Ransom_CERBER.CAD、Ransom_CERBER.A)一樣,設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定,勒索病毒偵測到下列語系就會終止自己:俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。
2016 年已開啟了網路犯罪集團探索未知攻擊領域和攻擊面的大門,以影響企業營運及消費者資安甚鉅的網路勒索為例,趨勢科技團隊統計截至今年第三季為止,全球網路勒索總攻擊次數已超過 1.8 億次,台灣受害排名則高居全球第 16,受攻擊總數逼近 300 萬大關1 ,FBI 最新數據更指出光是單一勒索病毒變種每天就能入侵大約 100,000 台電腦2。
近日傳出勒索病毒駭人新手法,先盜用Facebook帳號,再以私訊假冒好友分享偽造的圖片,誘拐被害者下載惡意瀏覽器外掛,再暗中植入惡名昭彰的勒索病毒 Locky。
提到 Locky ,不得不提到年初的這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆
它的變種藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !
許多人喜歡網路追劇,提醒您別遇到這樣掃興的事:
“最近我同事只是追劇而已就中招,整個電腦資料全毀….”
這並不是個案,無獨有偶的是近日也有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了Cerber 勒索軟體 Ransomware,並被要求支付約台幣1.7 萬的比特幣(Bitcoin)才可解鎖,更慘的是用公司的電腦 ! 很多網友給的建議跟 FBI 建議的一樣:” 付錢了事 “
提醒您:如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁或惡意廣告就會中毒。
到底感染勒索病毒時會出現什麼症狀?在第一時間該如何緊急處理?我們來重點複習一下:
感染勒索病毒時,勒索病毒會連線到C&C伺服器下載加密金鑰並且開始加密電腦中的檔案,然後在電腦上放置Ransom Note檔案(支付贖金的說明檔案)。因此,當下列症狀出現時,就有可能就是遭到勒索病毒感染:
自從在今年九月第一次寫到關於HDDCryptor的發現,趨勢科技就一直緊密追踪此一勒索病毒Ransomware(勒索軟體/綁架病毒)的演變。它在上個禮拜出現了一個新版本。根據分析,這新變種在最近被用來攻擊舊金山市交通局(SFMTA)。系統被入侵後,所有的電子售票機都出現了「停止服務」或是「捷運(地鐵)免費」的訊息。
⊙延伸閱讀: 勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟
此次攻擊就跟我們在HDDCryptor的其他版本所看到的一樣,勒索病毒會植入一些工具來加密整個磁碟,同時會加密掛載的網路磁碟。趨勢科技認為此次攻擊並沒有用漏洞攻擊套件和自動安裝工具來入侵感染受害者。而是先透過針對性攻擊/鎖定目標攻擊(Targeted attack )或攻擊漏洞等作法取得對機器的存取能力,接著再手動執行惡意軟體。儘管我們沒有詳細資料去解釋這攻擊如何涵蓋SFMTA內的2000台機器,但很有可能是透過管理權限在所有設備上設定排程任務來達成。
